Skip to main content

Quel est le coût total des cyberrisques?

Au cours du Mois de la sensibilisation à la cybersécurité, notre article d’ouverture intitulé « Cyber Security Comes Down to You » (La cybersécurité dépend de vous), braque les projecteurs sur l’aspect humain du cyberrisque visé par le thème Se voir dans le cyberespace. L’équipe d’Aon s’est penchée sur des sujets clés, comme la protection des personnes à valeur nette élevée à la maison, la tendance à utiliser des phrases de passe plutôt que des mots de passe et les risques associés aux sites de rencontre d’élite. Chaque semaine, nous avons fourni des suggestions orientées vers l’action – afin de cibler l’aspect humain essentiel à la cybersécurité.

Mais ce que nous savons de la nature humaine est qu’elle est intrinsèquement imprévisible. Personne ne peut garantir que les gens pratiqueront une bonne cyberhygiène ou qu’ils agiront correctement en tout temps. Sachant cela, il n’y a qu’une chose que nous pouvons prévoir avec une certitude absolue.

 

Votre organisation pourrait être victime d’une cyberattaque un jour.

Quelle est la prochaine mesure à prendre? Compte tenu de la complexité des menaces auxquelles font face les organisations actuellement, celles-ci ne sont pas certaines de la prochaine meilleure décision à prendre en matière de gestion des cyberrisques. Pour mieux évaluer votre capacité à prendre des décisions, posez-vous les trois questions suivantes :

  • Connaissez-vous le coût total potentiel des cyberrisques pour votre organisation?
  • Savez-vous où investir le budget de sécurité pour contribuer à maximiser la protection du bilan?
  • Avez-vous accès à des outils de modélisation financière et de scénarios pour mesurer le rendement de l’investissement en sécurité de votre organisation?

Soyez honnête. Ces questions sont difficiles. Pour répondre à ces questions, une organisation doit s’engager dans un processus continu ou en boucle, commun à tous les intervenants, pour gérer les cyberrisques.

Les organisations croient à tort qu’un cyberincident est résolu une fois que le réseau est rétabli. Mais ce n’est que le début. Il faut de nombreux mois, voire des années, pour atteindre une reprise financière complète à la suite d’un cyberincident important. La clé de cette reprise est de disposer de la bonne police d’assurance cyberrisques et d’une équipe expérimentée pour quantifier avec précision les dommages et gérer la demande de règlement afin d’effectuer une reprise réussie en vertu de la police. Ce n’est pas une tâche facile.

 

#SoyonsCybervigilants en cas d’attaque.

Soyez prêt à réagir. Ayez un plan pratique d’intervention en cas d’incident et un plan de reprise après sinistre, de préférence, comprenant une entente-cadre de service. Sachez à quels experts vous ferez appel en cas d’atteinte à la protection des données et, surtout, assurez-vous que ces derniers sont approuvés par votre assureur. Ayez des protocoles communs pour l’intervention en cas d’incident, la gestion de crise et la continuité des activités.

Devenez assurable. Les assureurs posent des questions précises et spécifiques sur les contrôles. Voici quelques raisons pour lesquelles un assureur pourrait refuser de fournir une couverture d’assurance :

  • Absence d’AFM ou de détection pour les points terminaux
  • Peu ou pas de formation de sensibilisation des utilisateurs
  • Lacunes en matière de contrôle des accès
  • Problèmes de segmentation du réseau Efforcez-vous d’améliorer la résilience en matière d’assurance cyberrisques.

Tirez parti de votre police d’assurance cyberrisques. Souscrire une police n’est que la première étape. Sachez qui vous conseillera sur la meilleure façon de protéger vos intérêts en cas d’incident. Déterminez qui vous aidera à quantifier l’incidence des pertes d’exploitation à l’échelle de l’entreprise et qui gérera le processus de demande de règlement pour aider à faire avancer la demande vers le recouvrement financier.

Participez de façon éclairée à la gestion des cyberrisques afin d’atténuer l’imprévisibilité de l’aspect humain de ceux-ci.